Imaginez ceci : vous recevez soudainement des messages sur votre iPhone vous demandant de réinitialiser votre mot de passe Apple ID. Il peut sembler que quelque chose ne va pas avec votre compte, alors vous commencez le processus de réinitialisation de votre mot de passe. Mais voici le truc : tous ces messages sont faux. C'est un astuce astucieuse mise en place par des personnes qui tentent d'accéder à votre identifiant Apple et à toutes vos données personnelles, comme vos photos, messages et informations de carte de crédit.
Ils exploitent une vulnérabilité dans le système Apple pour vous faire croire qu'il y a un problème. Et pour aggraver les choses, ils peuvent vous inonder de ces faux messages, de sorte que votre téléphone continue de bipper et de vibrer, vous faisant croire qu'il se passe vraiment quelque chose de grave.
Il existe de nombreuses attaques de phishing connues ciblant les utilisateurs d'appareils Apple pour accéder à leur identifiant Apple. Cependant, une nouvelle attaque "sophistiquée" utilise un bug dans la fonction de réinitialisation du mot de passe Apple ID avec des techniques de "push bombing" ou de "fatigue MFA" pour inonder les appareils Apple de demandes de réinitialisation du mot de passe.
Mais ce n'est pas tout. Après avoir reçu tous ces faux messages et commencé à s'inquiéter, vous pourriez même recevoir un appel de quelqu'un prétendant être du support Apple. Ils essaient de vous convaincre de leur donner votre code de réinitialisation de mot de passe. Et si vous le faites, ils vous ont. Ils peuvent alors se connecter à votre identifiant Apple et accéder à toutes vos données sans que vous vous en rendiez compte.
Comme rapporté par Krebs on Security, l'entrepreneur Parth Patel a été l'une des victimes de la nouvelle attaque de phishing sophistiquée. Patel a expliqué dans un post sur X (anciennement Twitter) que son iPhone et d'autres appareils Apple ont soudainement "commencé à être inondés de notifications de réinitialisation de mot de passe." Cependant, étant donné qu'il s'agit d'une alerte au niveau du système, il devient impossible d'utiliser l'appareil jusqu'à ce que vous interagissiez avec celui-ci.
The attackers made a led high effort focused attack on me, using OSINT data from People Data Labs and caller ID spoofing.
— Parth (@parth220_) March 23, 2024
First, around 6:36pm yesterday all of my Apple devices started blowing up with Reset Password notifications.
Because these are Apple system level alerts,… pic.twitter.com/vX1AZvoVoN
Selon Patel, il a reçu plus de 100 demandes de réinitialisation de son mot de passe Apple ID. Mais l'attaque ne s'est pas arrêtée là. Environ 15 minutes plus tard, l'utilisateur a reçu un appel d'une personne usurpant le numéro de téléphone officiel du support Apple.
"J'étais naturellement toujours méfiant, donc je leur ai demandé de valider beaucoup d'informations sur moi avant de répondre à l'une de leurs questions", a déclaré Patel. Pour gagner la confiance de la victime, la personne faisant semblant de travailler pour le support Apple a partagé plusieurs détails personnels corrects, tels que l'adresse e-mail, le numéro de téléphone et l'adresse de facturation actuelle.
Heureusement, Patel a pu confirmer que l'appel était une arnaque après avoir demandé à la personne de confirmer son nom. "On m'a informé qu'ils utilisaient mes données de People Data Labs en temps réel pour valider une tonne d'informations. Malgré avoir correctement indiqué toutes mes données, les fraudeurs pensaient que mon nom était Anthony S."
Pour ceux qui ne le savent pas, People Data Labs est une plateforme qui collecte et vend des données personnelles. La plateforme a été la cible d'une énorme fuite en 2019 qui a exposé environ 1,2 milliard d'enregistrements.
Ne partagez jamais votre code de réinitialisation de mot de passe avec d'autres
Ce que veulent les attaquants, c'est convaincre les victimes qu'il y a un problème et qu'elles doivent partager le code envoyé par Apple pour réinitialiser leur mot de passe. Bien sûr, si la victime partage ce code avec quelqu'un d'autre, cette personne peut obtenir un accès complet à l'identifiant Apple.
Pour éviter cela, il est important de ne jamais partager le code de réinitialisation de mot de passe avec d'autres, même s'ils prétendent être le support Apple. Soyez toujours prudent face aux messages ou aux appels suspects demandant des informations personnelles. Mieux vaut prévenir que guérir.
Apple doit encore commenter sur la question ou publier une mise à jour empêchant les attaquants d'envoyer plusieurs demandes de réinitialisation de mot de passe. Pour l'instant, le meilleur moyen de prévenir de telles attaques est de ne jamais partager le code de réinitialisation de votre mot de passe Apple ID avec d'autres.